我试过这种方式:
$desc = mysql_real_escape_string($_POST['description'][$i]);
然后尝试将变量$desc插入MySQL,我尝试过:
'".mysql_real_escape_string($desc)."'
作为实际插入查询的一部分。两者都不起作用。
我得到1x10-10而不是1x10-10'松。
在第一个单引号中,一切都被切断了。我甚至尝试过:
$desc = mysql_real_escape_string("1x10-10' pine")`
看看会发生什么,并且可以使用斜杠添加。
有什么建议吗?
答案 0 :(得分:3)
看起来它不是mysql_real_escape_string,也不是SQL,而是你的HTML负责这种行为。
确保使用带有htmlspecialchars标记的ENT_QUOTES打印标记属性。